東証プライム上場企業におけるサイバーセキュリティ開示実態　～AIと公開情報を用いた横断分析によるスコアリングから見るトップ企業・業界別のポイント～【RMFOCUS 第97号】

1. 本調査の位置付けと狙い

本調査は、東証プライム上場1,615社の公開情報（有価証券報告書・統合報告書等）を対象に、サイバーセキュリティに関する開示実態を横断的に分析したものである。

従来、こうした実態の把握はアンケート調査に依存してきたが、アンケート方式では回答バイアスや回収率の制約が避けられない。そこで本調査では、企業が実際に投資家へ向けて公表している情報だけを材料とし、「何を、どれだけ、どのように書いているか」を定量的に評価することを目指した。

なお、本調査では、AIを活用した調査・分析に高度な知見をもつ株式会社SIGNATEへ業務委託を行い、共同で調査を行った。サイバー攻撃の高度化に加え、SEC（米国証券取引委員会）をはじめとする海外規制当局による開示要求の強化があり、日本国内でも開示要求が強化されることが見込まれる。日本企業にとっても、単なる「対策の有無」ではなく、「経営としてどうリスクを把握し、どのような体制・技術・人材で備えているか」を説明する責任が高まっている。このような状況を踏まえ本調査を実施した。

本稿では、調査の方法論をコンパクトに整理したうえで、総合スコア上位企業や業界別スコアの実例を交えながら、日本企業の特徴と課題を抽出する。

2. 調査の進め方：AIと人手の役割分担

(1) 対象・データ・抽出フロー

対象は、2025年10月時点の東証プライム上場企業1,615社とし、以下の資料を収集した。

• 有価証券報告書：EDINET APIから最新のファイルを一括取得（1,551社は2025年版、64社は2024年版）
• 統合報告書等：企業サイトを対象に、「統合報告書」「インテグレーテッドレポート」「価値創造報告書」「サステナビリティレポート」など名称揺れを考慮しつつ、独自スクリプトと人手補完で1,291ファイルを収集

収集したファイルから、サイバーセキュリティ関連の38キーワード（サイバー、情報セキュリティ、ランサムウェア、CSIRT、ゼロトラスト、生成AI等）を機械的に検索し、該当箇所の前後約300文字を「言及（ヒット）」として切り出した。目次やリンク集などは削除し、削除ログを残すことで後から検証可能な形にしている。この段階で、「企業×ページ×キーワード×文脈」の生データが整備される。

(2) 内容カテゴリと成熟度（概要のみ）

各ヒットについて、生成AIに以下の二つを判定させるよう、独自の指示（プロンプト）を設計した。

①どの領域の話か（6カテゴリ）

a) 基本概念・脅威・インシデント
b) リスク評価・影響・BCP・保険
c) ガバナンス・ポリシー・規格・個人情報管理
d) 組織・体制・運用
e) 技術的対策・アーキテクチャ・サービス活用
f) 人材・教育・育成

②どれくらい具体的か（成熟度）

a) Noise：無関係・誤抽出
b) General：重要性の宣言など抽象論
c) Plan：導入予定・検討中など計画段階
d) Implemented：導入済み・運用中など具体的事実

ここでは詳細な判定ロジックは割愛するが、「何について書いているか」と「どれくらい具体的か」を分離して評価することで、量だけでなく質の違いもとらえられるようにしている。

(3) スコアリングと評価指標：何をどう点数化したか

本調査における重要なポイントは、「ヒットごとの判定結果を、企業全体の評価にどう集約するか」である。

分かりやすく言えば、 「どの企業が、どの領域について、どれくらい具体的に書いているか」を、数字で比較できるようにする評価方法（スコアリング）を設計した点が特徴である。スコアリングのため、以下①～③の三種類の評価指標（スコア）を用いて企業を評価した。

①基本となる三つのスコア

a) シンプルスコア（Simple Score）「量だけを見る指標」

Noiseを除いた有効ヒット数の単純合計。「どれだけたくさん書いているか」という「量」の指標である。
例：教育に関するヒット3件＋CSIRTに関するヒット1件
→ シンプルスコア＝4点

b) 重み付きスコア（Weighted Score）「量と具体性を一緒に見る中心指標」

General＝1点、Plan＝2点、Implemented＝3点、Noise＝0点として合計。「量 × 具体性」を反映する重要な指標である。
例：Implemented 2件、Plan 3件、General 5件
→ 2×3＋3×2＋5×1＝17点

c) カテゴリ別スコア／総合スコア「どの領域が強いかを分解できる指標」

6カテゴリごとに重み付きスコアを集計（カテゴリ別スコア）。6カテゴリの合計が、その企業の総合スコア（Total Score）となる。総合スコアが高いほど、「多くの領域で、具体的な記述が厚い企業」と評価できる。

②相対評価と絶対評価

総合スコアを基に、相対評価と絶対評価を実施した。

a) 相対評価（Rank1〜5）

全企業の総合スコアを並べ、上位20%をRank5、次の20%をRank4…と区分し、「今の市場の中での自社のポジション」を見るための指標である。設計上、分布はほぼ均等になるため、「市場全体の成熟度」を見るには向かない。

b) 絶対評価（Tier1〜5）

総合スコアの絶対値に閾値を設け、到達度を5段階で判定。Tier1（300点以上）〜Tier5（19点以下）とし、「最低限どこまで書けているか」を示す。Tier分布の結果は、Tier1：1.1%、Tier2：6.1%、Tier3：25.1%、Tier4：33.4%、Tier5：34.3%と、低位層が厚い。

③SEC視点の評価：内容のバランスを見る

各企業のヒット内容を、SEC（米国証券取引委員会）が開示を義務付けている観点で再集計したのがSECスコアである。以下の三つの軸と4Keysの計7項目に対する各企業の開示内容を分析し・・・